도메인 기반 크로스 사이트 스크립팅 취약점

설명

웹 사이트 또는 응용 프로그램은 도메인 기반 크로스 사이트 스크립팅에 취약합니다. 교차 사이트 스크립팅을 사용하면 악의적인 공격자가 웹 응용 프로그램을 속여 자신이 선택한 자바스크립트 코드를 내보내도록 할 수 있습니다. 이 악성 코드는 의심 하지 않는 사용자의 브라우저에서 실행 될 때 귀하의 웹 응용 프로그램에서 온 나타납니다.

예를 들어 다음과 같은 취약한 스크립트를 사용하여 공격을 시작할 수 있습니다.위치+’?이 문제를 해결하는 방법은 무엇입니까?쩐쨀챌쩌쩌쩔채.쩐쨀챌쩌쩌쩔채.>’);

이 경우,자바 스크립트 변수”문서.위치”는 공격자의 직접 제어하에 있지만,이 위치는 공격자가 직접 제어하지 않고 문서 내용에 직접 기록되고 있습니다.escaping.An 공격자는<스크립트>태그가 포함된 웹 사이트를 만들고 의심하지 않는 사용자가 취약한 웹 사이트를 방문하도록 속일 수 있습니다. 이 응용 프로그램은 다음과 같이 작동합니다.왜?”><스크립트>경고(문서.위의 스크립트가 공격자의 악성 스크립트 태그를 사용자의 문서에 직접 작성하여 실행할 수 있도록 스크립트를 생성할 수 있습니다.

악용 스크립트를 만들 수 있습니다:

  • 다른 클라이언트의 개인 인트라넷 내의 다른 사이트에 액세스합니다.
  • 다른 클라이언트의 쿠키를 훔칩니다.
  • 다른 클라이언트의 쿠키를 수정합니다.
  • 다른 고객이 제출한 양식 데이터를 도용합니다.
  • 다른 클라이언트가 제출한 양식 데이터를 서버에 도달하기 전에 수정합니다.
  • 암호 또는 기타 응용 프로그램 데이터를 수정하는 사용자 대신 응용 프로그램에 양식을 제출

가장 일반적인 두 가지 공격 방법은 다음과 같습니다:이 두 가지 시나리오에서는 일반적으로 신뢰할 수 있는 사이트로 연결되지만,이 두 가지 시나리오 모두 공격을 트리거하는 데 사용되는 추가 데이터가 포함됩니다.

참고 이 문제 로부터 보호 하지 않습니다.

답글 남기기

이메일 주소는 공개되지 않습니다.

Related Posts